エスケープとは
コンピュータにおいて入力文字列から特殊な記号などを無害化する処理。特にサニタイジングなど。
Wikiより
ネットを閲覧していたら、いつのまにかクレジットカードの番号が漏れてしまったら、、、これはやばいですよね。
Web開発ではセキュリティとして悪意のあるコードを埋め込まれないように対策をします。
ユーザが自由な文章を入力できる場合、厳密に「悪意のあるコード」を識別することはコンピューターに難しいです。
そのため「変なものを入力されても影響がないようにする」と言う観点で行うのがエスケープです。
インターネットは基本HTML文字の集合体です。
ブログやツイッター(Web)なども、細かく分解してくと全て文字です。
投稿文にHTML文字を入力、表示する場合、ブラウザは「開発者が入力したHTMLか他の人が入力したHTMLか」がわかりません。
ですから「他の人が入力したHTML」をHTMLではないただの文字列に変換して攻撃を無害化するんですね。
具体的には、、、次のようにHTMLとして意味を持つ記号を実態参照に変換します。
| 記号 | 実態参照 | |
|---|---|---|
| < | < | 小なり |
| > | > | 大なり |
| & | & | アンパサンド |
| “ | " | ダブルクォーテーション |
| ‘ | ' | シングルクォーテーション |
| ` | ` | バッククォート |
詳しい記事
バイラルクラブ – サニタイジング(エスケープ)とは?HTML特殊文字を無害化しない事による脅威と対策のまとめ
http://viral-community.com/blog/html-sanitizing-escape-1859/
